PEACHPIT Botnet

Et svigagtigt botnet kendt som PEACHPIT orkestrerede brugen af hundredtusindvis af Android- og iOS-enheder til at generere ulovlige overskud til de personer, der var ansvarlige for denne ulovlige operation. Dette botnet er blot en komponent i en bredere operation baseret i Kina, omtalt som BADBOX, som involverer salg af off-brand mobile og tilsluttede tv-enheder (CTV) gennem populære online-forhandlere og videresalgsplatforme. Disse enheder er kompromitteret med en Android malware-stamme kendt som Triada .

Netværket af applikationer forbundet med PEACHPIT-botnettet blev opdaget i svimlende 227 lande og territorier. På sit højeste kontrollerede den cirka 121.000 Android-enheder om dagen og 159.000 iOS-enheder om dagen.

En udbredt angrebskampagne, der påvirker hundredvis af forskellige Android-enhedstyper

Infektionerne blev lettet af en samling af 39 applikationer, som blev downloadet og installeret over 15 millioner gange. Enheder, der var inficeret med BADBOX-malwaren, gav operatørerne mulighed for at stjæle følsom information, etablere proxy-udgangspunkter til boliger og deltage i annoncesvindel gennem disse vildledende applikationer.

Den nøjagtige metode til at kompromittere Android-enheder med en firmware-bagdør er stadig uklar på nuværende tidspunkt. Der er dog beviser, der peger på et potentielt hardware-forsyningskædeangreb knyttet til en kinesisk producent. Ved at bruge disse kompromitterede enheder er trusselsaktører i stand til at oprette WhatsApp-meddelelseskonti ved at stjæle engangsadgangskoder, der er gemt på enhederne. Ydermere kan cyberkriminelle bruge disse enheder til at konfigurere Gmail-konti, hvilket effektivt omgår typiske botdetektionsmekanismer, da disse konti ser ud til at være oprettet fra en standardtablet eller smartphone af en ægte bruger.

Det, der er særligt bekymrende, er, at over 200 forskellige typer Android-enheder, inklusive mobiltelefoner, tablets og tilsluttede tv-produkter, har udvist tegn på BADBOX-infektion. Dette tyder på en udbredt og omfattende operation orkestreret af trusselsaktørerne.

Trusselaktører kan ændre PEACHPIT Botnet

Et bemærkelsesværdigt aspekt af annoncesvindelordningen involverer brugen af forfalskede applikationer designet til Android- og iOS-platforme. Disse bedrageriske apps distribueres gennem store applikationsmarkedspladser, herunder Google Play Butik og Apple App Store, og de downloades også automatisk til kompromitterede BADBOX-enheder. Inden i disse Android-applikationer ligger et modul, der er ansvarligt for at generere skjulte WebViews. Disse skjulte WebViews bruges efterfølgende til at fremsætte anmodninger, vise annoncer og simulere annonceklik, alt imens de skjuler disse handlinger som stammende fra legitime applikationer.

I samarbejde med cybersikkerhedseksperter har både Apple og Google gjort betydelige fremskridt med at forstyrre denne operation. En opdatering, der blev udrullet tidligere i 2023, er blevet identificeret som en effektiv fjernelse af de moduler, der driver PEACHPIT på enheder inficeret med BADBOX, som svar på afbødende indsats implementeret i november 2022. Der er dog mistanke om, at angriberne tilpasser deres taktik i et forsøg på at undgå disse forsvar.